北해킹조직 ‘김수키’, 1400명 이메일 해킹…일반인 가상자산 노렸다[사건 Zoom In]

북한 정찰총국 산하 해킹조직 ‘김수키’(Kimsuky)가 국내외 서버 500여 개를 경유하며 인터넷주소(IP주소)를 바꾼 뒤 내국인 1468명의 이메일 계정을 탈취했다고 21일 경찰이 밝혔다. 경찰에 따르면 김수키는 가상자산에 관심이 많은 일반인에게 접근해 가상자산 탈취를 시도했지만 실제로 성공하진 못했다.

크게보기

북한 해킹조직 ‘김수키’의 해킹 공격 개요. 경찰청 제공

● ‘Navor’, ‘daurn’ 등 피싱용 가짜 사이트 만들어

경찰청 국가수사본부는 이날 브리핑을 열고 “김수키의 활동 내용을 추적해 수사한 결과 공격 대상을 외교안보 분야 공무원과 전문가뿐만 아니라 일반인까지 확대한 것으로 나타났다”며 이같이 밝혔다.

이번 수사를 통해 확인된 이메일 계정 탈취 피해자는 모두 1468명으로 파악됐다. 이 중 외교안보, 국방, 통일 분야 분야의 전·현직 공무원 등 전문가는 57명이었다. 이중엔 전직 장관급 인사도 한 명 포함된 것으로 전해졌다. 경찰 관계자는 “김수키는 들이 가진 외교안보 정보를 노렸지만 주소록 외에는 보안 자료에 접근하지는 못했다”고 전했다.

경찰에 따르면 김수키는 국내 서버 194대를 포함해 43개국 서버 총 576대를 IP주소를 바꿔서 사칭 이메일을 보내는 수법을 썼다. 지난해 4~7월 ‘피싱용 이메일’을 보내는 수법과 마찬가지로 정부기관, 언론사 기자, 연구소 등을 사칭한 이메일을 보냈다. 이때 김수키는 국민건강보험 안내문이나 질의서 등 수신자가 관심을 가질만한 내용을 첨부파일로 담아 보냈다. 이렇게 속은 피해자가 이메일에 첨부된 파일을 열람하면 개인용 컴퓨터 내부의 정보를 유출할 수 있는 악성 프로그램이 설치 및 실행되는 수법을 썼다. 경찰 관계자는 “1468개의 이메일 계정에 부정 접속한 것으로 파악된다”고 밝혔다.

이메일에서 인터넷주소(URL)를 누르도록 유도하는 수법도 썼다. 국내외 온라인 포털 사이트 네이버, 다음, 구글 등을 사칭한 가짜 사이트를 만들어 접속하게 한 다음 계정정보를 탈취하는 방식이다. ‘Navor(네이버는 Naver)’, ‘daurn(다음은 daum)’ 등으로 언뜻보면 실제와 비슷한 주소를 사용했다. 경찰 관계자는 “링크를 통해 접속하면 원래 포털 사이트와 똑같은 모습으로 만든 피싱 사이트로 연결되도록 해 구분하기 어렵게 했다”고 전했다.

북한 해킹조직 김수키가 포털 사이트 네이버를 사칭해 만든 가짜 피싱 사이트 화면 캡처. 경찰청 제공

● 경찰 “일반인 가상자산 노렸지만 실패”

회사원이나 자영업자 등 다양한 직군의 일반인 1411명도 피해를 입었다. 이는 지난해 외교안보 전문가 위주로 해킹공격을 감행했던 것과는 양상이 달라진 것이다. 경찰 관계자는 “특정 분야 종사자에 국한하지 않고 전방위적으로 공격을 확산하고 있는 것으로 보인다”며 “특히 일반인의 경우 가상자산을 노린 해킹으로 보인다”고 밝혔다.

경찰은 지난해 김수키가 국내 중소기업에 랜섬웨어를 유포한 뒤 가상자산으로 금전을 요구했고, 올해도 사칭 이메일로 해킹 당한 피해자들의 가상자산 거래소 계정에 부정 접속해 가상자산 절취를 시도한 점 등으로 미뤄봤을때 김수키의 일반인 해킹 목표가 가상자산 탈취로 정해졌다고 보고 있다.

다만 김수키는 실제 가상자산을 획득하는 데는 실패한 것으로 파악됐다. 경찰 관계자는 “김수키가 피해자 중 19명의 가상자산 거래소 계정을 탈취해 부정 접속에 성공했지만 결국 2단계 인증을 통과하지지 못하면서 최종적으로 가상자산 탈취에는 실패한 것으로 판단된다”고 말했다.

앞서 김수키는 지난해 4∼10월 국립외교원 관계자, 20대 대통령직인수위원회 출입기자 등을 사칭하며 통일 외교 안보 국방 전문가 892명에게 악성 프로그램이 숨겨진 이메일을 보냈었다. 당시 이메일을 받은 전문가 중 49명이 실제로 해킹 피해를 입었다. 김수키는 2014년 한국수력원자력 원전 도면 유출, 2015년 국가안보실 사칭 메일 발송 등의 사건 배후로 지목되는 조직이다. 북한 정찰총국은 대남 공작 업무를 총괄하는 조직이다.

송유근 기자 big@donga.com